專利名稱:信息安全和系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助方法��、系統(tǒng)及服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及系統(tǒng)維護(hù)領(lǐng)域�,尤其是信息安全領(lǐng)域���。
背景技術(shù):
隨著計(jì)算機(jī)��、互聯(lián)網(wǎng)等信息技術(shù)的日益普及和應(yīng)用��,對(duì)于信息系 統(tǒng)(包括計(jì)算機(jī)系統(tǒng))的維護(hù)�,尤其是信息安全等需要較強(qiáng)專業(yè)性�����、
較深技術(shù)性的服務(wù)的需求日益增強(qiáng)��。IT服務(wù)外包已經(jīng)深入到企業(yè)用戶���, 成為各類企業(yè)日常營(yíng)運(yùn)不可或缺的一部分�����。另外���,經(jīng)驗(yàn)表明�����,需要維 護(hù)和處理的問(wèn)題中絕大部分屬于與病毒�����、木馬等惡意軟件相關(guān)的問(wèn)題�。 其余的也多與軟件安裝���、系統(tǒng)配置等相關(guān)��。
尤其值得關(guān)注的是�����,隨著社會(huì)信息化程度的不斷提高�,網(wǎng)絡(luò)犯罪 情形日益嚴(yán)重。盡管現(xiàn)有的系統(tǒng)維護(hù)方式中應(yīng)對(duì)惡意軟件�����、病毒���、木 馬等攻擊的解決方案豐富多樣�,但攻擊(尤其是通過(guò)互聯(lián)網(wǎng))個(gè)人電 腦����、服務(wù)器、或者其他計(jì)算機(jī)化裝置的事件(例如改變數(shù)據(jù)����、竊取數(shù) 據(jù)或破壞數(shù)據(jù)等)仍然越來(lái)越頻繁地發(fā)生�����。據(jù)統(tǒng)計(jì)���,2007年被安全公 司查殺到的新的惡意軟件有近30萬(wàn)種����。顯然,病毒����、木馬乃至惡意軟 件已有產(chǎn)業(yè)化、規(guī)?���;内厔?shì),而且其隱蔽性也進(jìn)一步加強(qiáng)����。
迄今為止所有的針對(duì)病毒、木馬等惡意軟件的問(wèn)題解決方案中�, 其本質(zhì)上都有很大的局限性,因?yàn)樗鼈冎皇潜砻嫔辖鉀Q了有限的幾個(gè) 問(wèn)題�,而沒(méi)有應(yīng)對(duì)產(chǎn)業(yè)化、隱蔽化日漸增強(qiáng)的惡意軟件的根本辦法�。 大部分解決方案都是一些殺毒軟件或者網(wǎng)絡(luò)防火墻之類,其難以及時(shí)���、 準(zhǔn)確地應(yīng)對(duì)惡意軟件的攻擊��。殺毒軟件主要是采用黑名單過(guò)濾的方式���, 但它們只能檢測(cè)出那些已知的病毒或蠕蟲(chóng)等���,而對(duì)未知的或者以目前 技術(shù)無(wú)法判斷的病毒或變種則任其肆虐,用戶只能等到相應(yīng)安全公司 識(shí)別出未知病毒或其變種后����,通過(guò)更新/下載新的病毒庫(kù)才能查殺這種 惡意軟件,而此時(shí)用戶數(shù)據(jù)可能早已被竊取或破壞�。網(wǎng)絡(luò)防火墻則是 采用特定格式數(shù)據(jù)包放行的方式,但其為這些數(shù)據(jù)包制訂的過(guò)濾規(guī)則 仍有局限性����, 一旦程序發(fā)生了錯(cuò)誤或遇到不良程序巧妙偽裝的情況等, 不良程序仍可能控制計(jì)算機(jī)��、服務(wù)器��、甚至整個(gè)網(wǎng)絡(luò)��,而此時(shí)防火墻則對(duì)此束手無(wú)策����,任其控制用戶系統(tǒng)���。
而且��,在上述現(xiàn)有的針對(duì)病毒���、木馬等惡意軟件的問(wèn)題解決方案 中��,用戶通常需要在客戶端下載和/或安裝體積龐大的病毒庫(kù)和殺毒引 擎來(lái)實(shí)現(xiàn)對(duì)惡意軟件的防范���,這無(wú)疑增加了用戶系統(tǒng)及整個(gè)網(wǎng)絡(luò)鏈路 的負(fù)擔(dān)。目前主流殺毒軟件的病毒庫(kù)體積普遍在幾十兆以上�����,用戶在 下載�、安裝病毒庫(kù)時(shí)存在時(shí)間過(guò)長(zhǎng)的問(wèn)題,而且在數(shù)據(jù)傳輸過(guò)程中也 存在誤包率較高的風(fēng)險(xiǎn)�����。這種情形在用戶不斷更新/下載新病毒庫(kù)或升 級(jí)數(shù)據(jù)量較大的病毒庫(kù)時(shí)越發(fā)明顯�����。
此外����,在上述的針對(duì)病毒����、木馬等惡意軟件的問(wèn)題解決方案中其 解除病毒威脅的手段也往往比較單一�,而且即便識(shí)別出病毒體,但無(wú) 法殺除病毒的情形也時(shí)有發(fā)生��。僅依靠單獨(dú)的殺毒軟件無(wú)法提供更多����、 更有效的徹底清除病毒的手段。
再者��,當(dāng)信息系統(tǒng)在軟件安裝�、系統(tǒng)配置等相關(guān)方面出現(xiàn)問(wèn)題時(shí),
供商上門(mén)服務(wù)等��,不但;務(wù):本高而且服務(wù)周期^:較長(zhǎng)�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助機(jī)制,其包 含相應(yīng)的方法及系統(tǒng)��,利用該機(jī)制能夠讓用戶與安全風(fēng)險(xiǎn)有效隔離��, 防止惡意軟件尤其是新型惡意軟件的攻擊和感染����。
本發(fā)明的另 一 目的在于提供一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助機(jī)制, 其包含相應(yīng)的方法及系統(tǒng)��,利用該機(jī)制能夠減輕用戶系統(tǒng)本身以及網(wǎng) 絡(luò)通信的負(fù)擔(dān)��,使用戶無(wú)需時(shí)刻關(guān)注病毒庫(kù)版本�,也無(wú)需在客戶端不 斷更新下載數(shù)據(jù),即能確保系統(tǒng)安全�。
本發(fā)明的另 一 目的在于提供一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助機(jī)制, 其包含相應(yīng)的方法及系統(tǒng)�����,借助該機(jī)制能夠?yàn)橛脩籼峁└?����、更有?的徹底解除惡意軟件威脅的辦法��。
本發(fā)明的另 一 目的在于提供一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助機(jī)制�, 其包含相應(yīng)的方法及系統(tǒng),借助該機(jī)制能夠?yàn)橛脩籼峁┬畔⑾到y(tǒng)的曰 常維護(hù)并相應(yīng)信息系統(tǒng)出現(xiàn)的各種問(wèn)題提供解決方案�����。
為了實(shí)現(xiàn)上述目的���,本發(fā)明在第一方面提供一種由協(xié)助服務(wù)器為客戶端提供信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助方法�����,協(xié)助服務(wù)器與客戶端通過(guò)
網(wǎng)絡(luò)互聯(lián)�����,其特征在于所述方法包括下列步驟所述客戶端監(jiān)控自身 的運(yùn)行以確定是否有系統(tǒng)異常�;所述客戶端搜集與系統(tǒng)異常有關(guān)的診 斷信息,并將搜集的所述診斷信息發(fā)送至所述協(xié)助服務(wù)器��;所述協(xié)助 服務(wù)器基于所述診斷信息���,對(duì)系統(tǒng)異常進(jìn)行分析���,并且向客戶端提供相 應(yīng)的解決方案;以及�����,所述客戶端實(shí)施所述解決方案�。
在第 一方面的遠(yuǎn)程協(xié)助方法的例子中,所述系統(tǒng)異常是安全性可 疑的文件;所述協(xié)助服務(wù)器分析并且提供解決方案的步驟包括協(xié)助服 務(wù)器基于所述診斷信息對(duì)安全性可疑文件進(jìn)行安全性分析�,確定所述 可疑文件是否為存在安全隱患的文件�����;若協(xié)助服務(wù)器判定所述安全性 可疑文件為存在安全隱患的文件����,則提供相應(yīng)的解決方案。
在第二方面�����,本發(fā)明還提供一種客戶端���,其與協(xié)助服務(wù)器通過(guò)網(wǎng) 絡(luò)互聯(lián)����,其特征在于所述客戶端包括監(jiān)控自身的運(yùn)行以獲得可疑文 件的監(jiān)控模塊�����;所述監(jiān)控模塊搜集可疑文件的診斷信息��,以便將搜集 的所述診斷信息發(fā)送至所述協(xié)助服務(wù)器;接收來(lái)自所述協(xié)助服務(wù)器的 解決方案并且加以實(shí)施的模塊����;其中所述解決方案由協(xié)助服務(wù)器基于 所述診斷信息對(duì)可疑文件進(jìn)行安全性分析,并且在確定所述可疑文件 為存在安全隱患的文件的情況下提供的�����。
在第三方面���,本發(fā)明還提供一種協(xié)助服務(wù)器����,其與客戶端通過(guò)網(wǎng) 絡(luò)互聯(lián)����;其特征在于所述協(xié)助服務(wù)器包括接收來(lái)自客戶端的診斷信 息,并基于所述診斷信息進(jìn)行安全性分析���,以便確定所述客戶端獲得 的可疑文件是否為存在安 全隱患的文件的模塊�����,其中所述診斷信息是 由客戶端在監(jiān)控自身的運(yùn)行時(shí)所獲得可疑文件的診斷信息���;和��,若判 定所述可疑文件為存在安全隱患的文件����,向客戶端提供相應(yīng)的解決方 案的模塊����。
在第四方面��,本發(fā)明還提供一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng)�����, 包括第二方面的客戶端和第三方面的協(xié)助服務(wù)器�。
在第五方面,本發(fā)明還提供一種由協(xié)助服務(wù)器為客戶端提供信息 系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助方法����,協(xié)助服務(wù)器與客戶端通過(guò)網(wǎng)絡(luò)互聯(lián),其特 征在于所述方法包括以下步驟客戶端監(jiān)控自身運(yùn)行以確定是否有系 統(tǒng)異常�;客戶端搜集與系統(tǒng)異常有關(guān)的診斷信息;客戶端將所述診斷 信息發(fā)送至所述協(xié)助服務(wù)器����;所述協(xié)助服務(wù)器基于所述診斷信息進(jìn)行系統(tǒng)異常的分析��,確定系統(tǒng)異常的解決方案����;若所述協(xié)助服務(wù)器無(wú)法 確定針對(duì)系統(tǒng)異常的解決方案���,則向至少 一 個(gè)協(xié)助機(jī)發(fā)布協(xié)助請(qǐng)求���; 所述至少一個(gè)協(xié)助^L響應(yīng)所述協(xié)助請(qǐng)求并向協(xié)助服務(wù)器發(fā)出確認(rèn)消 息;所述協(xié)助服務(wù)器基于所述至少一個(gè)協(xié)助機(jī)的確認(rèn)消息���,將所述至 少 一個(gè)協(xié)助的至少 一個(gè)與客戶端配對(duì)�����,協(xié)助客戶端與至少 一個(gè)協(xié)助 機(jī)中的所述至少一個(gè)建立網(wǎng)絡(luò)連接�;所述至少一個(gè)協(xié)助機(jī)中的所述至 少一個(gè)登錄客戶端進(jìn)行協(xié)助處理���,并給出相應(yīng)的解決方案��。
在第五方面的遠(yuǎn)程協(xié)助方法的 一個(gè)例子中���,系統(tǒng)異常是安全性可 疑的文件�;所述協(xié)助服務(wù)器分析并且確定解決方案的步驟包括協(xié)助服 務(wù)器確定安全性可疑文件是否為存在安全隱患的文件�,并且/或者確定 解除所述客戶端的存在安全隱患的文件的解決方案。
在第六方面�,本發(fā)明還提供一種協(xié)助服務(wù)器,其與客戶端通過(guò)網(wǎng) 絡(luò)互聯(lián)����,其特征在于所述協(xié)助服務(wù)器包括接收客戶端發(fā)來(lái)的診斷信 息����,并基于所述診斷信息進(jìn)行安全性分析,以便確定所述客戶端獲得 的可疑文件是否為存在安全隱患的文件的模塊��;若所述協(xié)助服務(wù)器無(wú) 法確定是否為存在安全隱患的文件或無(wú)法解除所述客戶端的存在安全 隱患的文件��,則向所述至少一個(gè)協(xié)助機(jī)發(fā)布協(xié)助請(qǐng)求的模塊�;基于所 述至少一個(gè)協(xié)助機(jī)的確認(rèn)消息,將所述至少一個(gè)協(xié)助機(jī)的至少一個(gè)與 客戶端配對(duì)����,協(xié)助客戶端與至少一個(gè)協(xié)助機(jī)中的至少 一個(gè)建立網(wǎng)絡(luò)連 接的模塊,以便所述至少一個(gè)協(xié)助機(jī)中的所述至少一個(gè)登錄客戶端進(jìn) 行協(xié)助處理��,并給出相應(yīng)的解決方案。
在第七方面���,本發(fā)明還提供一種客戶端���,其與協(xié)助服務(wù)器通過(guò)網(wǎng) 絡(luò)互聯(lián),其特征在于所述客戶端包括監(jiān)控自身運(yùn)行以獲得可疑文件 的監(jiān)控模塊�����;所述監(jiān)控模塊搜集可疑文件的診斷信息��;將所述可疑文 件的診斷信息發(fā)送至所述協(xié)助服務(wù)器的模塊���;應(yīng)所述協(xié)助服務(wù)器的將 所述至少一個(gè)協(xié)助才幾的至少一個(gè)與客戶端配對(duì)的要求�����,與至少一個(gè)協(xié) 助機(jī)中的所述至少一個(gè)建立網(wǎng)絡(luò)連接的模塊�����,以便所述至少一個(gè)協(xié)助 機(jī)中的所述至少 一個(gè)登錄客戶端進(jìn)行協(xié)助處理��,并給出相應(yīng)的解決方 案����;其中所述配對(duì)要求是所述協(xié)助服務(wù)器基于所述診斷信息進(jìn)行可疑 文件的安全性分析時(shí)無(wú)法確定是否為存在安全隱患的文件或無(wú)法解除 所述客戶端的存在安全隱患的文件的情況下發(fā)出的。
在第八方面�,本發(fā)明還提供一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng),包括第七方面的客戶端和第六方面的協(xié)助服務(wù)器����。
前文所述的i貪斷信息可以是以下系統(tǒng)信息的一項(xiàng)或多項(xiàng)注冊(cè)表; 軟件安裝����;活躍進(jìn)程及進(jìn)程歷史記錄;網(wǎng)絡(luò)鏈接���;文件目錄;驅(qū)動(dòng)程 序����;需要關(guān)鍵資源的程序或進(jìn)程;上述各項(xiàng)系統(tǒng)信息之間的創(chuàng)建���、調(diào) 用���、修改����、刪除���、或關(guān)閉關(guān)系�。
與現(xiàn)有技術(shù)相比���,本發(fā)明通過(guò)上述機(jī)制提供完善�、便利的各種信 息系統(tǒng)的日常維護(hù)服務(wù)�,尤其是能夠及時(shí)發(fā)現(xiàn)惡意軟件的侵襲,并能 給出完善的解決方案����。通過(guò)遠(yuǎn)程協(xié)助機(jī)制進(jìn)行異常分析或安全性分析, 能夠節(jié)約維護(hù)服務(wù)成本��,并能讓用戶充分享受遠(yuǎn)程協(xié)助的便利�。
下面將參照附圖對(duì)本發(fā)明的具體實(shí)施方案進(jìn)行更詳細(xì)的說(shuō)明,其
中
圖1為本發(fā)明第一實(shí)施方案的信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng)結(jié)構(gòu) 示例圖2為圖1所示系統(tǒng)的遠(yuǎn)程協(xié)助機(jī)制的處理流程示例圖��; 圖3為本發(fā)明第二實(shí)施方案的信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng)結(jié)構(gòu) 示例圖4為圖3所示系統(tǒng)的遠(yuǎn)程協(xié)助機(jī)制的處理流程示例圖�。 圖5為本發(fā)明協(xié)助服務(wù)器的優(yōu)選結(jié)構(gòu)示意圖。
具體實(shí)施例方式
為了使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚����,以下結(jié)合附圖 以及實(shí)施例對(duì)本發(fā)明的遠(yuǎn)程協(xié)助機(jī)制的優(yōu)選方案進(jìn)行詳細(xì)說(shuō)明��。應(yīng)當(dāng)
的;明構(gòu)思��,并不用于限Z本發(fā):月�����。 ����、、" '�、 '
圖1為本發(fā)明第一實(shí)施方案的信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng)的結(jié) 構(gòu)示例圖。如圖l所示��,本發(fā)明的遠(yuǎn)程協(xié)助系統(tǒng)包括客戶端110以及 協(xié)助服務(wù)器120���,客戶端110與協(xié)助服務(wù)器通過(guò)網(wǎng)絡(luò)130相互通信。 客戶端IIO基于本地的監(jiān)控模塊112對(duì)客戶端的運(yùn)行進(jìn)行監(jiān)控���,并獲 得可疑文件�����,并且搜集可疑文件的診斷信息�����,為本發(fā)明的遠(yuǎn)程協(xié)助機(jī)制提供支持�。協(xié)助服務(wù)器120根據(jù)監(jiān)控模塊112上傳的可疑文件的診 斷信息為客戶端IIO遠(yuǎn)程提供安全協(xié)助,進(jìn)而保障客戶端110的信息 安全與正常運(yùn)4亍���。
圖2為圖1所示系統(tǒng)的遠(yuǎn)程協(xié)助機(jī)制的處理流程示例圖����。應(yīng)當(dāng)理 解的是�,本發(fā)明的各處理流程可以對(duì)應(yīng)為或組合為相應(yīng)的產(chǎn)品模塊或 裝置。
如圖2所示����,本發(fā)明第一實(shí)施例的遠(yuǎn)程協(xié)助處理流程包括以下內(nèi)
容
在步驟200中,客戶端110的監(jiān)控模塊112監(jiān)控系統(tǒng)運(yùn)行��,并獲 得可疑文件���。
在步驟202中��,客戶端IIO搜集可疑文件的相關(guān)診斷信息�����。 在步驟204中�����,客戶端110向協(xié)助服務(wù)器120發(fā)出求助請(qǐng)求����,并 上傳搜集的診斷信息。
在步驟206中�����,協(xié)助服務(wù)器120響應(yīng)客戶端110的請(qǐng)求�����,根據(jù)上
件��。�、 ^ 。 b ����、'',
如果在步驟206中��,根據(jù)當(dāng)前的診斷信息能夠判定可疑文件是病 毒文件���,則轉(zhuǎn)入步驟214�����。
如果根據(jù)當(dāng)前的診斷信息無(wú)法準(zhǔn)確判定可疑文件是否為病毒或 無(wú)法判定其種類時(shí)��,則轉(zhuǎn)入步驟208����。在步驟208中向客戶端IIO反 饋指令��,進(jìn)一步要求更多的系統(tǒng)���、文件信息��。例如發(fā)現(xiàn)某個(gè)驅(qū)動(dòng)是沒(méi) 有簽名的�����,而且沒(méi)有公司信息��,雖然其診斷信息(如特征碼)不在病
毒庫(kù)中��,但需要其全部文件內(nèi)容才可以確定是否有害���。也就是說(shuō)�,雖 然根據(jù)當(dāng)前病毒庫(kù)的檢測(cè)結(jié)果判定可疑文件為"安全文件"����,但本發(fā)
明仍由協(xié)助服務(wù)器120向客戶端IIO發(fā)出指令如提取某個(gè)文件、某
個(gè)注冊(cè)表的內(nèi)容等�����,從而獲得完整的診斷信息�,以做進(jìn)一步的判定。
在步驟210中�����,客戶端IIO根據(jù)協(xié)助服務(wù)器120的要求收集更多 的診斷信息�����,如文件��、系統(tǒng)信息���,并上傳給協(xié)助服務(wù)器120��。
協(xié)助服務(wù)器120在步驟212中根據(jù)進(jìn)一步的診斷信息��,人工分析
或通過(guò)分析工具確定可疑文件是否為病毒文件。
若在步驟212中確定可疑文件是病毒文件則轉(zhuǎn)入步驟214中����,若 確定可疑文件為安全文件則轉(zhuǎn)入步驟218中。在步驟214中��,協(xié)助服務(wù)器120相應(yīng)于病毒的確認(rèn)給出安全問(wèn)題 的解除辦法�。具體而言,在確定了惡意程序后�����,對(duì)已知病毒�����,向客戶 端IIO發(fā)送專殺工具或處理腳本,對(duì)找到的可疑程序����,向客戶端IIO 發(fā)送處理命令,如終止相關(guān)進(jìn)程��、隔離相關(guān)文件�����、刪除啟動(dòng)項(xiàng)目等等����。
客戶端110在步驟216中實(shí)施協(xié)助服務(wù)器120給出的安全問(wèn)題解 除指令并向協(xié)助服務(wù)器120確認(rèn)問(wèn)題的解決。例如客戶端110收到相 關(guān)指令后����,執(zhí)行專殺工具或處理腳本、逐步終止相關(guān)進(jìn)程���、或隔離文 件�����、刪除注冊(cè)表(刪除前備份)等�。當(dāng)安全問(wèn)題解除后,客戶端IIO 向協(xié)助服務(wù)器120發(fā)送確認(rèn)信息�����。
在步驟218中���,協(xié)助服務(wù)器120相應(yīng)于問(wèn)題解除的確認(rèn)信息或相 應(yīng)于文件安全的判定而向客戶端反饋結(jié)果,進(jìn)而結(jié)束本次遠(yuǎn)程協(xié)助��。
此外���,較佳的是�����,在步驟206中�����,協(xié)助服務(wù)器本身也包含類似白 名單的架構(gòu)�,由此可以根據(jù)診斷信息先確認(rèn)文件是否為安全的文件�, 若文件安全則向客戶端反饋結(jié)果���,若不能確定文件為安全文件,則進(jìn) 行其后的步驟208至步驟218����。藉此,對(duì)于客戶端白名單不全���、而文 件本身安全的情形下��,可以藉由協(xié)助服務(wù)器所具有的更大容量的白名 單快速地向客戶端反饋給果�����,減少客戶端IIO的等待時(shí)間��。
接下來(lái)以磁碟機(jī)病毒為例對(duì)本發(fā)明的遠(yuǎn)程協(xié)助處理流程進(jìn)行說(shuō) 明�。應(yīng)當(dāng)明確的是�,這里的》茲*萊機(jī)病毒<義是實(shí)施本發(fā)明遠(yuǎn)程協(xié)助流程 的一個(gè)舉例,而不應(yīng)作為實(shí)施本發(fā)明的限制�。
客戶端110中的監(jiān)控模塊112監(jiān)控客戶端的運(yùn)行,并獲取可疑文 件A����。該可疑文件A的獲得是基于客戶端的基本病毒庫(kù)過(guò)濾�����,通過(guò)已 知的病毒特征串或病毒技巧特征對(duì)客戶端上的文件/進(jìn)程進(jìn)行判斷�, 當(dāng)發(fā)現(xiàn)疑似文件或未知文件時(shí)��,將其作為可疑文件�。
此外,優(yōu)選的�,該可疑文件的獲得是基于客戶端110的白名單過(guò) 濾,該白名單中包含已知的安全文件的特征集合��。這一集合的數(shù)量沒(méi) 有限制����,可以視客戶端的情況而定���。諸如客戶端的白名單中僅包含基 本的安全文件的集合�����,或是根據(jù)客戶端需求裝載一比較全面的安全文進(jìn)程等�����,放行已知的沒(méi)有問(wèn)題的�、安全的文件,而對(duì)于其他的文件則 一律予以阻擋�����,并將其作為可疑文件�。藉此可以將客戶端與病毒等不 安全因素有效隔絕,徹底地保障客戶端的信息安全�。
客戶端110針對(duì)可疑文件A搜集相關(guān)的診斷信息,其診斷信息可 以是可疑文件的特征信息�����,如特征碼����、關(guān)鍵值等。
此外���,優(yōu)選的�����,該診斷信息為經(jīng)過(guò)白名單過(guò)濾后的系統(tǒng)信息�����,包
括但不限于以下系統(tǒng)信息或其組合l)注冊(cè)表�����;2)軟件安裝�����;3)活 躍進(jìn)程及進(jìn)程歷史記錄���;4)網(wǎng)絡(luò)鏈接��;5)文件目錄;6)驅(qū)動(dòng)程序�; 7)需要關(guān)鍵資源的程序或進(jìn)程;8)上述各項(xiàng)系統(tǒng)信息之間的創(chuàng)建��、 調(diào)用�����、修改、刪除�、或關(guān)閉關(guān)系等。通過(guò)搜集客戶端運(yùn)行的相關(guān)系統(tǒng) 信息作為診斷信息����,即便惡意軟件是由多于一個(gè)的模塊組成時(shí),本發(fā) 明也能準(zhǔn)確地判斷是否為病毒文件���。比如有些程序如果缺少其他的模 塊將無(wú)法執(zhí)行���,但一旦有了其他的模塊,這個(gè)程序?qū)⒊蔀橐粋€(gè)典型的 病毒文件或木馬�。因此此時(shí)將單個(gè)文件的特征信息上傳基本無(wú)法做出 正確的判斷,所以也無(wú)法斷定其是否有害��,而將經(jīng)過(guò)白名單過(guò)濾后的 系統(tǒng)信息作為診斷信息則可全面地評(píng)估該可疑文件及其關(guān)聯(lián)文件對(duì)客 戶端系統(tǒng)的影響�,進(jìn)而可有效斷定文件是否有害。
在這里��,作為示例���,提取的診斷信息是根據(jù)已知病毒的行為特征��, 從用戶系統(tǒng)提取的文件�����、注冊(cè)表��、進(jìn)程等系統(tǒng)信息�����??蛻舳?10搜集 的該可疑文件A的相關(guān)診斷信息包含下列內(nèi)容
1、注冊(cè)表信息���,其中包括
1. 1自運(yùn)行項(xiàng)目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rs ioiARim
訓(xùn)Y-CURRENT —USER\SOFTWARE\Microsof t\Windows\CurrentVer s ioiARim
HKEY-LOCAL—MACHINE\SYSTEM\CurrentControlSet\Services 1.2軟件安裝信息
HKEY—LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Uninstall
1HKEY—LOCAL—MACHINE\SOFTWARE HKEY—CURRENT—USER\Software
1��、 3系統(tǒng)信息
HKEY—LOCAL—MACHINE\SYSTEM\ControlSet001 HKEY_LOCAL—MACHINE\SOFTWARE\MicrosoftWindows HKEY—LOCAL—MACHINE\SOFTWARE\Microsoft\Windows NT
2�����、 進(jìn)程信息����,其中包括
當(dāng)前活躍的進(jìn)程信息(進(jìn)程路徑進(jìn)程父子關(guān)系等)�,進(jìn)程使用 的DLL文件信息���。
3��、 文件信息����,其中包括
注冊(cè)表信息和進(jìn)程信息中相關(guān)文件的版本號(hào)、公司名稱���、簽名信 息�����、修改時(shí)間��、文件特征碼等����。
當(dāng)客戶端IIO將相關(guān)診斷信息搜集完畢后�,通過(guò)網(wǎng)絡(luò)130向協(xié)助 服務(wù)器120發(fā)出求助請(qǐng)求,并將搜集的診斷信息進(jìn)行壓縮和/或加密�����, 發(fā)送給協(xié)助服務(wù)器120����。協(xié)助服務(wù)器120收到壓縮和/或加密的診斷信 息后����,進(jìn)行相應(yīng)的解壓和/或解密并對(duì)診斷信息進(jìn)行診斷分析���,其診 斷方式可以是人工分析或通過(guò)分析工具分析�。其中���,本發(fā)明所使用的 分析工具包括但不限于現(xiàn)有的各種病毒查殺工具�����,諸如各種自動(dòng)安全 工具���、惡意軟件檢測(cè)工具等。
此外�,優(yōu)選的是,本發(fā)明的診斷方式中包含正常軟件的確認(rèn)工具���。 而且��,當(dāng)協(xié)助服務(wù)器120通過(guò)分析工具對(duì)可疑文件進(jìn)行分析時(shí)��, 協(xié)助服務(wù)器120包含一數(shù)據(jù)庫(kù)��,藉此�,分析工具可以對(duì)可疑文件進(jìn)行 安全性分析�。
在這里,作為示例��,協(xié)助服務(wù)器120基于上述搜集的關(guān)于可疑文 件A的診斷信息����,通過(guò)數(shù)據(jù)特征解析和數(shù)據(jù)庫(kù)查詢后,得到以下關(guān)鍵
信息
Run項(xiàng)為空
訓(xùn)Y一L0CAL-MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ {4D36E967-E32 5-11CE-BFC1-08002BE10318}不存在HKEY—LOCAL—MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVers ion\Windows
AppInit — DLLs = %SYSTEM°Adnsq. dl 1.此項(xiàng)默認(rèn)為空 每個(gè)進(jìn)程中都加載了非系統(tǒng)D L L: dnsq. dll 發(fā)現(xiàn)進(jìn)程smss. exe�、 netcfg. ,、 lsass.exe���。
通過(guò)數(shù)據(jù)庫(kù)查詢�����,可以發(fā)現(xiàn)該客戶端110中了磁碟機(jī)病毒�����。此時(shí)���, 協(xié)助服務(wù)器120基于該可疑文件A為磁碟機(jī)病毒的確認(rèn)�����,向客戶端提 供相應(yīng)的解決方案���。
此外,當(dāng)發(fā)現(xiàn)可疑的項(xiàng)目��,而相關(guān)信息不全時(shí)����,協(xié)助服務(wù)器120 反饋給客戶端110指令如提取某個(gè)文件、某個(gè)注冊(cè)表的內(nèi)容�。
在此假設(shè)磁碟機(jī)病毒是未知病毒,基于現(xiàn)有的診斷信息無(wú)法斷 定�����,而通過(guò)注冊(cè)表的特殊信息����,可以確定還需要提取dnsq. dll,因?yàn)?br>
HKEY—LOCAL—MACHINE\SOFTWARB\Microsof l:\WindowsNT\Current Version\Windows的AppInit-DLLs默i人是空的,ot匕處對(duì)應(yīng)的文件,必 定是可疑的��。
當(dāng)客戶端IIO收到指令后����,向協(xié)助服務(wù)器120發(fā)送其需要的進(jìn)一 步的診斷信息���。需要進(jìn)一步搜集的診斷信息視具體現(xiàn)象或情況而定��, 如可疑文件本身或進(jìn)一步的具體注冊(cè)表內(nèi)容等�����,其包含或體現(xiàn)的信息 比首次上傳的診斷信息更為詳細(xì)����、完整����。諸如首次上傳的診斷信息為 可疑文件的特征碼,而進(jìn) 一 步搜集的診斷信息可包括相關(guān)的系統(tǒng)運(yùn)行 信息����、和/或可疑文件本身等。在這里,作為示例���,客戶端110向協(xié) 助服務(wù)器120發(fā)送其需要的注冊(cè)表內(nèi)容dnsq. dll�����。
協(xié)助服務(wù)器120端在接收到進(jìn)一步的文件或注冊(cè)表內(nèi)容dnsq, dll 后�,根據(jù)反匯編獲得的AP I信息�,確定此文件的動(dòng)作范圍如進(jìn)程 鉤子、注冊(cè)表操作等�。在確定了該可疑文件A是磁碟機(jī)病毒后,協(xié)助 服務(wù)器120根據(jù)客戶端110的相關(guān)信息��,向客戶端110以下解決方案
正確的注冊(cè)表信息Uun ControlSet Applni DLL等);
需要?jiǎng)h除的文〈牛dnsq. dll (4勾子)�����、smss.exe��、 lsass. exe ( {方 冒系統(tǒng)進(jìn)程)���。
客戶端110收到命令后�,執(zhí)行專殺工具或處理腳本���、逐步終止相關(guān)進(jìn)程�����、隔離文件�、刪除注冊(cè)表(刪除前備份)。此外���,客戶端iio
也可在處理結(jié)束后,重啟系統(tǒng)��,檢查系統(tǒng)是否正常���。當(dāng)問(wèn)題解除/系
統(tǒng)運(yùn)行正常時(shí)��,客戶端110向協(xié)助服務(wù)器120發(fā)送確認(rèn)信息�。
本實(shí)施例中����,優(yōu)選的,協(xié)助服務(wù)器120基于其對(duì)病毒的研究或?qū)?新型病毒的認(rèn)知不斷更新其數(shù)據(jù)庫(kù)�,以最大限度應(yīng)對(duì)新型病毒的攻 擊,從而為客戶端提供全面的安全保障����。此外���,對(duì)于每次解決問(wèn)題的 解決方案,若其數(shù)據(jù)庫(kù)中不存在��,則也相應(yīng)添加到數(shù)據(jù)庫(kù)中���。
本實(shí)施例中�,優(yōu)選的�,客戶端IIO還包括存儲(chǔ)模塊,用于將協(xié)助 服務(wù)器120發(fā)送的問(wèn)題解決方案做本地保存����,以減少網(wǎng)絡(luò)通信的負(fù)擔(dān) 及風(fēng)險(xiǎn),并能快速應(yīng)對(duì)此后的同類問(wèn)題�����。
圖3為本發(fā)明第二實(shí)施方案的信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng)結(jié)構(gòu) 示例圖���。如圖3所示���,為了給用戶提供更新����、更全面的信息安全服務(wù)���, 本發(fā)明提出了另一種遠(yuǎn)程協(xié)助機(jī)制�,其包括客戶端310以及協(xié)助服務(wù) 器320��。此外�����,還包括至少一個(gè)協(xié)助機(jī)330�����?����?蛻舳?10����、協(xié)助服務(wù)器 320以及至少一個(gè)協(xié)助才幾330通過(guò)網(wǎng)絡(luò)340相互通信�。其中���,協(xié)助服 務(wù)器320與客戶端310之間的交互流程如第一實(shí)施例所述。本實(shí)施例 通過(guò)至少一個(gè)協(xié)助機(jī)30的遠(yuǎn)程協(xié)助�����,可更有效地應(yīng)對(duì)各種病毒的攻 擊��,尤其面對(duì)層出不窮的新型病毒�����,該機(jī)制可直接為用戶提供徹底的 解決方案�。
圖4為圖3所示系統(tǒng)的遠(yuǎn)程協(xié)助機(jī)制的處理流程示例圖。應(yīng)當(dāng)理 解的是�����,本發(fā)明的各處理流程可以對(duì)應(yīng)為或組合為相應(yīng)的產(chǎn)品模塊或 裝置���。
如圖4所示�����,當(dāng)協(xié)助服務(wù)器320無(wú)法滿足客戶端310的需求時(shí)��, 即協(xié)助服務(wù)器通過(guò)診斷分析仍不能確定可疑文件是否為病毒文件時(shí)��, 或協(xié)助服務(wù)器給出的解決方案仍然不能解決客戶端的安全問(wèn)題時(shí)�����,在 步驟400中���,協(xié)助服務(wù)器320向至少一個(gè)協(xié)助機(jī)330發(fā)布協(xié)助請(qǐng)求���。
在步驟402中,至少一個(gè)協(xié)助機(jī)330響應(yīng)所述協(xié)助請(qǐng)求并向協(xié)助
服務(wù)器發(fā)出確認(rèn)消息���。
在步驟404中�,協(xié)助服務(wù)器320基于所述至少一個(gè)協(xié)助機(jī)的確認(rèn)消息���,將所述至少一個(gè)協(xié)助機(jī)330與客戶端310配對(duì),協(xié)助客戶端310 與至少一個(gè)協(xié)助機(jī)330中的一個(gè)如協(xié)助機(jī)332建立連接�����。
在步驟406中����,協(xié)助機(jī)332登錄客戶端310進(jìn)行協(xié)助處理���,并給 出安全問(wèn)題的相應(yīng)解決方案。諸如協(xié)助才幾332可以才艮據(jù)客戶端310之 前提交的診斷信息和遠(yuǎn)程看到的現(xiàn)象��,進(jìn)行分析�。如協(xié)助機(jī)查看所有 的隱藏文件,發(fā)現(xiàn)autorun. inf信息�,{故相關(guān)監(jiān)控,并進(jìn)一步發(fā)現(xiàn)釋 放 autorun. inf 的程序或模塊�,再向用戶提供清除病毒文件的腳 本或程序文件。
在步驟408中�,客戶端310執(zhí)行協(xié)助機(jī)332給出的解決方案,并 向協(xié)助服務(wù)器320確認(rèn)問(wèn)題解決���。
此外����,本實(shí)施例中�����,優(yōu)選的��,至少一個(gè)協(xié)助4幾330的擁有者可以 是有經(jīng)驗(yàn)的病毒專家或相關(guān)領(lǐng)域的愛(ài)好者。通過(guò)本發(fā)明的這一遠(yuǎn)程協(xié) 助機(jī)制�����,一方面不但能為客戶端310提供有效的和/或最新的解決方案�, 或是提供多種解決方案供客戶端根據(jù)其實(shí)際情況選擇采用;另 一方面����, 這一遠(yuǎn)程協(xié)助機(jī)制也能夠?yàn)橛信d趣的專業(yè)或非專業(yè)人士提供展示才能
或研究交流的平臺(tái)。
而且�,除本實(shí)施例之外,協(xié)助服務(wù)器320與至少一個(gè)協(xié)助機(jī)330 之間不僅可以通過(guò)網(wǎng)絡(luò)互聯(lián)��,還可以通過(guò)諸如即時(shí)通信工具�����、短信��、 電話����、Email等通訊方式相互傳遞信息��。
本實(shí)施例中,優(yōu)選的�����,在步驟400中��,協(xié)助服務(wù)器320發(fā)布一個(gè) 或多個(gè)協(xié)助請(qǐng)求��,所述至少一個(gè)協(xié)助機(jī)330選擇其愿意接受的協(xié)助請(qǐng) 求并向協(xié)助服務(wù)器320發(fā)出確認(rèn)消息����。協(xié)助服務(wù)器320接受多個(gè)協(xié)助 機(jī)332-338對(duì)于同一協(xié)助請(qǐng)求的確認(rèn)信息,并將其加入同一隊(duì)列等待 配對(duì)�。
此外,協(xié)助服務(wù)器還可以將相關(guān)的診斷信息及協(xié)助請(qǐng)求同時(shí)發(fā) 布��,以便至少一個(gè)協(xié)助機(jī)330選擇其愿意接受的協(xié)助請(qǐng)求�。
本實(shí)施例中,優(yōu)選的�����,多個(gè)協(xié)助機(jī)330登錄客戶端310進(jìn)行遠(yuǎn)程 協(xié)助����,并給出多個(gè)解決方案����。由客戶端310根據(jù)其情況選擇一優(yōu)選方 案進(jìn)行實(shí)施���,或者也可由協(xié)助服務(wù)器320對(duì)多個(gè)解決方案進(jìn)行評(píng)估后��, 選擇一優(yōu)選解決方案提供給客戶端進(jìn)行實(shí)施���。協(xié)助服務(wù)器320所進(jìn)行的評(píng)估手段可以是人工評(píng)估,也可以是在協(xié)助服務(wù)器320端實(shí)施多個(gè) 解決方案后得出優(yōu)選方案�����。
本實(shí)施例中��,優(yōu)選的���,如圖5所示�,協(xié)助服務(wù)器還包括信用記錄 模塊506����,用于監(jiān)控并記錄所述至少一個(gè)協(xié)助機(jī)330的信用記錄���。諸如 可根據(jù)協(xié)助機(jī)332-338的身份驗(yàn)證信息是否全面��、歷次協(xié)助過(guò)程的操 作是否規(guī)范�、或協(xié)助機(jī)332-338擁有者的相關(guān)知名度等,為各協(xié)助機(jī) "2-"8進(jìn)行積分����,建立信用等級(jí)。由此可以避免信用低下的協(xié)助機(jī)藉 此威脅客戶端的信息安全�����。
此外��,協(xié)助服務(wù)器還可以包括歷史記錄模塊508�,用于記錄所述至 少一個(gè)協(xié)助機(jī)330的歷次協(xié)助過(guò)程及結(jié)果。歷史記錄可包括協(xié)助機(jī)330 歷次的協(xié)助處理過(guò)程及結(jié)果���,以及由此統(tǒng)計(jì)得出的某一協(xié)助機(jī)332-338 解決某種現(xiàn)象的成功率���、或?qū)δ愁惒《颈容^擅長(zhǎng)等的記錄,并進(jìn)行相 應(yīng)的積分�。
由此�����,在圖4的步驟404中��,協(xié)助服務(wù)器可以基于協(xié)助機(jī)330信 用記錄和/或歷史記錄為協(xié)助機(jī)及客戶端配對(duì)��。諸如若協(xié)助機(jī)334信用 等級(jí)較高和/或?qū)蛻舳顺霈F(xiàn)的磁碟機(jī)病毒比較擅長(zhǎng)解決�,則優(yōu)先將此 協(xié)助機(jī)334與客戶端配對(duì)��。
在本實(shí)施例中����,優(yōu)選的,協(xié)助服務(wù)器320紀(jì)錄此連接的雙方信息����, 跟蹤并監(jiān)控協(xié)助機(jī)的協(xié)助過(guò)程,并將遠(yuǎn)程協(xié)助的過(guò)程數(shù)據(jù)實(shí)時(shí)存檔�����。 當(dāng)協(xié)助機(jī)成功解決問(wèn)題時(shí)���,將其解決方案及問(wèn)題信息更新到數(shù)據(jù)庫(kù) 502中����,用以解決此后的相同現(xiàn)象。此外�����,協(xié)助服務(wù)器320還可根據(jù) 協(xié)助機(jī)的處理效率及結(jié)果為協(xié)助機(jī)更新信用記錄和/或歷史記錄���。
以下,針對(duì)信息系統(tǒng)出現(xiàn)的其他問(wèn)題并結(jié)合本發(fā)明的協(xié)助方式做 一說(shuō)明����。應(yīng)當(dāng)理解的是,本發(fā)明的遠(yuǎn)程協(xié)助機(jī)制不光可用于協(xié)助客戶 端防范病毒��、木馬等惡意軟件的侵襲����,雖然這是信息系統(tǒng)日常維護(hù)的 主要內(nèi)容及方面,而且���,本發(fā)明的遠(yuǎn)程協(xié)助機(jī)制還可用于涉及信息系 統(tǒng)其他方面可能出現(xiàn)的各種問(wèn)題���?����?梢钥隙ǖ氖?��,本發(fā)明可以為信息 系統(tǒng)的日常維護(hù)提供便利,并節(jié)省服務(wù)成本����。
例如,當(dāng)客戶端發(fā)現(xiàn)系統(tǒng)軟件如Off ice軟件出現(xiàn)異常�����。收集相關(guān)的安裝信息(診斷信息示例) [HKEY—LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\Installer\UserData\S+5-18\Products\00002109 03000000000 0000000F01FEC\InstallProperties]"DisplayVersion"="12. 0.6215 .1000"
"InstallDate"="20080508"
"Instal1Location"-"C: \\Program Files\\Microsoft OfficeW
"InstallSource"-"C:\\MSOCache\\Al1 "Publisher11 = "Microsoft Corporation" "Language"-dword: 00000000
"DisplayName"-"Microsoft Office Enterprise 2007"
協(xié)助服務(wù)器經(jīng)分析所搜集的信息后����,給出相應(yīng)的解決方案,諸如 這些解決方案可以是建議客戶端卸載其安裝的軟件"Microsoft Office Enterprise 2007",或者也可以是建議利用Windows的系統(tǒng) 還原工具進(jìn)行還原等等�����?�?蛻舳私邮詹?shí)施解決方案���,并反饋實(shí)施結(jié) 果����。如果仍然找不到問(wèn)題或問(wèn)題未解決,則通過(guò)遠(yuǎn)程協(xié)助服務(wù)器發(fā)布 求助請(qǐng)求���,由至少一個(gè)協(xié)助才幾響應(yīng)并協(xié)助解決�����。
顯而易見(jiàn),在此描述的本發(fā)明可以有許多變化�����,這種變化不能認(rèn) 為偏離本發(fā)明的精神和范圍��。因此�,所有對(duì)本領(lǐng)域技術(shù)人員顯而易見(jiàn) 的改變,都包括在本權(quán)利要求書(shū)的涵蓋范圍之內(nèi)�����。
權(quán)利要求
1��、一種由協(xié)助服務(wù)器為客戶端提供信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助方法,協(xié)助服務(wù)器與客戶端通過(guò)網(wǎng)絡(luò)互聯(lián)��,其特征在于所述方法包括下列步驟所述客戶端監(jiān)控自身的運(yùn)行以確定是否有系統(tǒng)異常��;所述客戶端搜集與系統(tǒng)異常有關(guān)的診斷信息���,并將搜集的所述診斷信息發(fā)送至所述協(xié)助服務(wù)器�����;所述協(xié)助服務(wù)器基于所述診斷信息�,對(duì)系統(tǒng)異常進(jìn)行分析��,并且向客戶端提供相應(yīng)的解決方案�;以及,所述客戶端實(shí)施所述解決方案��。
2��、 根據(jù)權(quán)利要求l的方法�,其特征在于所述診斷信息包括以下系統(tǒng)信息的 一 項(xiàng)或多項(xiàng) 1 ) 注冊(cè)表; 2) 軟件安裝���;3 ) 活躍進(jìn)程及進(jìn)程歷史記錄��;4) 網(wǎng)絡(luò)鏈接��;5) 文件目錄����;6) 驅(qū)動(dòng)程序;7) 需要關(guān)鍵資源的程序或進(jìn)程�;8 ) 上述各項(xiàng)系統(tǒng)信息之間的創(chuàng)建、調(diào)用�、修改、刪除�����、 或關(guān)閉關(guān)系�。
3�����、 根據(jù)權(quán)利要求l的方法�,其特征在于所述系統(tǒng)異常是安全性 可疑的文件;所述協(xié)助服務(wù)器分析并且提供解決方案的步驟包括協(xié)助服務(wù)器基于所述診斷信息對(duì)安全性可疑文件進(jìn)行安全性分析����,確定所 述可疑文件是否為存在安全隱患的文件���;若協(xié)助服務(wù)器判定所述安全 性可疑文件為存在安全隱患的文件,則提供相應(yīng)的解決方案�����。
4����、 根據(jù)權(quán)利要求3的方法,其特征在于包括所述客戶端基于白名單或基本病毒庫(kù)獲得所述可疑文件的步驟�。
5、 根據(jù)權(quán)利要求3的方法���,其特征在于所述客戶端搜集可疑文件的診斷信息�,并將搜集的所述診斷信息發(fā)送至所述協(xié)助服務(wù)器的步 驟包括在發(fā)送之前將診斷信息壓縮和/或加密的步驟��。
6�、 根據(jù)權(quán)利要求3的方法,其特征在于所述對(duì)所述可疑文件進(jìn)化 八
7����、 根據(jù)權(quán)利要求3的方法,其特征在于包括下列步驟 若所述協(xié)助服務(wù)器無(wú)法判定所述可疑文件是否為存在安全隱患的文件,則向所述客戶端要求進(jìn)一步的診斷信息�����;所述協(xié)助服務(wù)器接收客戶端搜集的所述進(jìn)一步的診斷信息�,并進(jìn) 一步確認(rèn)所述可疑文件是否為存在安全隱患的文件。
8���、 根據(jù)權(quán)利要求3的方法���,其特征在于包括若所述協(xié)助服務(wù)器 判定可疑文件是安全的文件,則向客戶端反饋結(jié)果的步驟���。
9��、 根據(jù)權(quán)利要求3的方法��,其特征在于所述協(xié)助服務(wù)器基于所述診斷信息對(duì)可疑文件進(jìn)行的安全性分 析��,是先確定所述可疑文件是否為安全的文件。
10���、 根據(jù)權(quán)利要求3的方法�,其特征在于包括所述客戶端將上 述解決方案存儲(chǔ)于客戶端本地中的步驟。
11���、 根據(jù)權(quán)利要求3的方法���,其特征在于包括客戶端向協(xié)助服 務(wù)器確認(rèn)存在安全隱患的文件已解決的步驟。
12����、 一種客戶端,其與協(xié)助服務(wù)器通過(guò)網(wǎng)絡(luò)互聯(lián)�����,其特征在于所 述客戶端包括監(jiān)控自身的運(yùn)行以獲得可疑文件的監(jiān)控模塊�����,所述監(jiān)控模塊搜集 可疑文件的診斷信息����,以便將搜集的所述診斷信息發(fā)送至所述協(xié)助服 務(wù)器;接收來(lái)自所述協(xié)助服務(wù)器的解決方案并且加以實(shí)施的模塊���;其中 所述解決方案由協(xié)助服務(wù)器基于所述診斷信息對(duì)可疑文件進(jìn)行安全性 分析���,并且在確定所述可疑文件為存在安全隱患的文件的情況下提供 的�����。
13���、 根據(jù)權(quán)利要求12的客戶端,其特征在于包括白名單和/或 基本病毒庫(kù)���,所述監(jiān)控模塊基于白名單和/或基本病毒庫(kù)獲得所述可疑 文件���。
14、 根據(jù)權(quán)利要求12的客戶端���,其特征在于所述診斷信息包括 以下系統(tǒng)信息的一項(xiàng)或多項(xiàng)1) 注冊(cè)表����; 2)軟件安裝���;(3 )活躍進(jìn)程及進(jìn)程歷史記錄�����;(4) 網(wǎng)絡(luò)鏈接��;(5) 文件目錄�;(6) 驅(qū)動(dòng)程序����;(7 ) 需要關(guān)鍵資源的程序或進(jìn)程;(8 ) 上述各項(xiàng)系統(tǒng)信息之間的創(chuàng)建�、調(diào)用、修改�、刪除、 或關(guān)閉關(guān)系����。
15、 根據(jù)權(quán)利要求12的客戶端��,其特征在于所述客戶端包括將 診斷信息壓縮和/或加密的壓縮模塊和/或加密模塊����。
16、 根據(jù)權(quán)利要求12的客戶端��,其特征在于包括響應(yīng)協(xié)助服務(wù) 器的要求提供進(jìn)一 步的診斷信息的模塊�����。
17、 根據(jù)權(quán)利要求12的客戶端����,其特征在于包括存儲(chǔ)器,存儲(chǔ) 所述解決方案�����。
18�����、 一種協(xié)助服務(wù)器��,其與客戶端通過(guò)網(wǎng)絡(luò)互聯(lián)�����;其特征在于所 述協(xié)助服務(wù)器包括接受來(lái)自客戶端的診斷信息����,并基于所述診斷信息進(jìn)行安全性分 析,以便確定所述客戶端獲得的可疑文件是否為存在安全隱患的文件 的模塊�����;其中所述診斷信息是由客戶端在監(jiān)控自身的運(yùn)行時(shí)所獲得可 疑文件的診斷信息�;和若判定所述可疑文件為存在安全隱患的文件,向客戶端提供相應(yīng) 的解決方案的模塊��。
19����、 根據(jù)權(quán)利要求18的協(xié)助服務(wù)器,其特征在于包括文件��,則向所述客戶^要求進(jìn)一步的^斷信息的模�����、塊�; ' '所述協(xié)助服務(wù)器接收客戶端搜集的所述進(jìn)一步的診斷信息,并進(jìn) 一步確認(rèn)所述可疑文件是否為存在安全隱患的文件的模塊����。
20、 一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng)����,包括如權(quán)利要求12所述 的客戶端和權(quán)利要求18所述的協(xié)助服務(wù)器��。
21 ���、 一種由協(xié)助服務(wù)器為客戶端提供信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助方法, 協(xié)助服務(wù)器與客戶端通過(guò)網(wǎng)絡(luò)互聯(lián)�,其特征在于所述方法包括以下步 驟客戶端監(jiān)控自身運(yùn)行以確定是否有系統(tǒng)異常;客戶端搜集與系統(tǒng)異常有關(guān)的診斷信息�;客戶端將所述診斷信息發(fā)送至所述協(xié)助服務(wù)器;所述協(xié)助服務(wù)器基于所述診斷信息進(jìn)行系統(tǒng)異常的分析�,確定系 統(tǒng)異常的解決方案;若所述協(xié)助服務(wù)器無(wú)法確定針對(duì)系統(tǒng)異常的解決方案�,則向至少 一個(gè)協(xié)助機(jī)發(fā)布協(xié)助請(qǐng)求;所述至少一個(gè)協(xié)助機(jī)響應(yīng)所述協(xié)助請(qǐng)求并向協(xié)助服務(wù)器發(fā)出確認(rèn) 消息��;所述協(xié)助服務(wù)器基于所述至少一個(gè)協(xié)助機(jī)的確認(rèn)消息��,將所述至 少 一個(gè)協(xié)助才幾的至少 一個(gè)與客戶端配對(duì)�,協(xié)助客戶端與至少一個(gè)協(xié)助 機(jī)中的所述至少一個(gè)建立網(wǎng)絡(luò)連接;所述至少 一個(gè)協(xié)助機(jī)中的所述至少 一個(gè)登錄客戶端進(jìn)行協(xié)助處 理��,并給出相應(yīng)的解決方案����。
22、 根據(jù)權(quán)利要求21的方法,其特征在于系統(tǒng)異常是安全性可疑 的文件�����;所述協(xié)助服務(wù)器分析并且確定解決方案的步驟包括協(xié)助服務(wù) 器確定安全性可疑文件是否為存在安全隱患的文件���,并且/或者確定解 除所述客戶端的存在安全隱患的文件的解決方案�。
23����、 根據(jù)權(quán)利要求21的方法��,其特征在于包括所述協(xié)助服務(wù)器基 于所述至少一個(gè)協(xié)助機(jī)的信用記錄和/或歷史記錄為所述至少一個(gè)協(xié) 助機(jī)及客戶端配對(duì)的步驟��。
24���、 根據(jù)權(quán)利要求23的方法�,其特征在于包括所述協(xié)助服務(wù)器 監(jiān)控并記錄所述至少一個(gè)協(xié)助機(jī)的信用記錄和/或歷史記錄的步驟��。
25�����、 根據(jù)權(quán)利要求21的方法,其特征在于包括下列步驟 所述協(xié)助服務(wù)器發(fā)布多個(gè)協(xié)助請(qǐng)求�����,所述至少一個(gè)協(xié)助機(jī)選擇其愿意接受的協(xié)助請(qǐng)求并向所述協(xié)助服務(wù)器發(fā)出確認(rèn)消息��;所述協(xié)助服務(wù)器接受所述至少一個(gè)協(xié)助機(jī)對(duì)于同一協(xié)助請(qǐng)求的確認(rèn) 信息�����,并將其加入同一隊(duì)列等待配對(duì)�����。
26�����、 根據(jù)權(quán)利要求21的方法��,其特征在于包括 所述協(xié)助服務(wù)器將所述診斷信息與協(xié)助請(qǐng)求同時(shí)發(fā)布���,以便所述至少一個(gè)協(xié)助機(jī)根據(jù)所述診斷信息選擇是否接受協(xié)助請(qǐng)求的步驟。
27���、 根據(jù)權(quán)利要求21的方法�����,其特征在于所述協(xié)助服務(wù)器存儲(chǔ)有數(shù)據(jù)庫(kù)����,所述方法包括所述協(xié)助服務(wù)器將所述至少一個(gè)協(xié)助機(jī)中的所述至少一個(gè)所給出的解決方案,添加至所 述數(shù)據(jù)庫(kù)中��。
28��、 一種協(xié)助服務(wù)器����,其與客戶端通過(guò)網(wǎng)絡(luò)互聯(lián)�,其特征在于所 述協(xié)助服務(wù)器包括接收客戶端發(fā)來(lái)的診斷信息,并基于所述診斷信息進(jìn)行安全性分 析�����,以便確定所述客戶端獲得的可疑文件是否為存在安全隱患的文件 的模塊�;若所述協(xié)助服務(wù)器無(wú)法確定是否為存在安全隱患的文件或無(wú)法解 除所述客戶端的存在安全隱患的文件,則向所述至少 一個(gè)協(xié)助機(jī)發(fā)布 協(xié)助請(qǐng)求的模塊�;基于所述至少 一 個(gè)協(xié)助機(jī)的確認(rèn)消息,將所述至少 一 個(gè)協(xié)助機(jī)的 至少一個(gè)與客戶端配對(duì),協(xié)助客戶端與至少一個(gè)協(xié)助才幾中的至少一個(gè)建立網(wǎng)絡(luò)連接的模塊����,以便所述至少 一 個(gè)協(xié)助機(jī)中的所述至少 一 個(gè)登錄客戶端進(jìn)行協(xié)助處理,并給出相應(yīng)的解決方案��。
29���、 如權(quán)利要求28所述的協(xié)助服務(wù)器���,其特征在于包括跟蹤并監(jiān) 控所述至少 一 個(gè)協(xié)助機(jī)中的至少 一 個(gè)的協(xié)助處理過(guò)程,并將所述至少 一個(gè)協(xié)助機(jī)中的至少一個(gè)所給出的解決方案加以保存的模塊�����。
30����、 一種客戶端��,其與協(xié)助服務(wù)器通過(guò)網(wǎng)絡(luò)互聯(lián)��,其特征在于所 述客戶端包括監(jiān)控自身運(yùn)行以獲得可疑文件的監(jiān)控模塊���;所述監(jiān)控模塊搜集可 疑文件的診斷信息��;將所述可疑文件的診斷信息發(fā)送至所述協(xié)助服務(wù)器的模塊���; 應(yīng)所述協(xié)助服務(wù)器的將所述至少 一個(gè)協(xié)助機(jī)的至少 一個(gè)與客戶端 配對(duì)的要求����,與至少 一 個(gè)協(xié)助機(jī)中的所述至少 一 個(gè)建立網(wǎng)絡(luò)連接的模 塊��,以便所述至少一個(gè)協(xié)助機(jī)中的所述至少一個(gè)登錄客戶端進(jìn)行協(xié)助 處理����,并給出相應(yīng)的解決方案;其中所述配對(duì)要求是所述協(xié)助服務(wù)器 基于所述診斷信息進(jìn)行可疑文件的安全性分析時(shí)無(wú)法確定是否為存在 安全隱患的文件或無(wú)法解除所述客戶端的存在安全隱患的文件的情況 下發(fā)出的����。
31���、 一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助系統(tǒng)�,包括如權(quán)利要求30的客戶 端和如權(quán)利要求28所述的協(xié)助服務(wù)器����。
全文摘要
本發(fā)明披露了一種信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助方法和系統(tǒng)�����。在一個(gè)方案中����,提供一種由協(xié)助服務(wù)器為客戶端提供信息系統(tǒng)維護(hù)的遠(yuǎn)程協(xié)助方法�����,協(xié)助服務(wù)器與客戶端通過(guò)網(wǎng)絡(luò)互聯(lián)�����,其特征在于所述方法包括下列步驟所述客戶端監(jiān)控自身的運(yùn)行以確定是否有系統(tǒng)異常��;所述客戶端搜集與系統(tǒng)異常有關(guān)的診斷信息���,并將搜集的所述診斷信息發(fā)送至所述協(xié)助服務(wù)器;所述協(xié)助服務(wù)器基于所述診斷信息���,對(duì)系統(tǒng)異常進(jìn)行分析�,并且向客戶端提供相應(yīng)的解決方案�����;以及,所述客戶端實(shí)施所述解決方案�����。利用本發(fā)明能夠讓用戶得到便利的日常維護(hù)服務(wù)����,尤其是能夠有效免疫、與安全風(fēng)險(xiǎn)徹底隔離��。
文檔編號(hào)H04L29/06GK101594248SQ200810112980
公開(kāi)日2009年12月2日 申請(qǐng)日期2008年5月27日 優(yōu)先權(quán)日2008年5月27日
發(fā)明者劉守群, 潘劍鋒, 鄒貴強(qiáng) 申請(qǐng)人:奇智軟件技術(shù)(北京)有限公司